Windows 10: Millionen PCs bei Gerätetreibern anfällig für Hackerangriffe

HVCI steht für Hypervisor-geschützte Codeintegrität und gehört neben TPM 2.0, der Firmwareunterstützung für Security Mitigation Table-Schutz und einigen optionalen UEFI-Features zur Virtualization-based Security - kurz VBS - unter Windows 11 und Windows 10. In der Regel ist HVCI alias "Kernisolierung" bei den meisten PCs deaktiviert, nur bei Firmen-PCs kann es sein, dass HVCI aktiv ist. Wie die Webseite Ars Technica berichtet, sind Millionen Windows-PCs potenziell anfällig für Hackerangriffe. Schuld ist HVCI, das viele Firmen-PCs sowie Besitzer eines Microsoft Surface aktiviert haben. Entgegen dem Versprechen können auch anfällige Treiberversionen geladen werden, so der Forscher Will Dormann.

Treiberblockliste nur unter Windows 11 automatisch aktuell

Falls ein PC über einen solchen anfälligen Treiber verfügt, können Hacker diese Schwachstelle bequem ausnutzen. Mit der Speicherintegrität alias Kernisolierung soll eigentlich verhindert werden, dass nicht signierte Treiber oder Systemdateien in den Speicher von Windows geladen werden. Microsoft führt hierzu eine Blockliste, welche veralteten Treiber nicht installiert werden können. Offenbar haben die Redmonder jedoch vergessen, diese Liste aktuell zu halten. Seit 2019 ist die Blockliste unter Windows 10 nicht mehr automatisch aktualisiert worden und muss daher manuell vom Nutzer oder Admin eingespielt werden. Laut Microsoft hatte es Probleme mit Windows-Updates gegeben, sodass die Blockliste nicht automatisch aktuell gehalten wurde. Erst mit Windows 11 wird automatisch eine aktuelle Treiberblockliste mitgeliefert.

Wer sich nicht auf automatische Updates verlassen möchte, kann auch selbst die binäre Blockliste für anfällige Treiber herunterladen und aktivieren. Hierzu führt man die folgenden Schritte aus:

1. Herunterladen des WDAC-Richtlinienaktualisierungstools
2. Herunterladen und Extrahieren der Binärdateien für anfällige Treiberblocklisten
3. Wählen Sie entweder die Nur-Überwachungsversion oder die erzwungene Version aus, und benennen Sie die Datei in "SiPolicy.p7b" um.
4. SiPolicy.p7b nach %windir%\system32\CodeIntegrity kopieren
5. Führen Sie das WDAC-Richtlinienaktualisierungstool aus, das Sie oben in Schritt 1 heruntergeladen haben, um alle WDAC-Richtlinien auf Ihrem Computer zu aktivieren und zu aktualisieren.

Eine Alternative ist es, manuell nach neuen Gerätetreibern zu suchen und nur von offiziellen Webseiten Treiberversionen zu installieren. Wer HVCI manuell aktivieren will oder überprüfen möchte, ob es auf seinem PC aktiviert ist, kann wie folgt vorgehen:

• Quelle: PCGH Aktivierung der Kernisolierung alias Speicher-Integrität bzw. HVCI innerhalb der App Windows-Sicherheit. Manche Sicherheitssoftware kann Hackerangriffe erkennen.

  Die App Windows-Sicherheit öffnen.

• Im neuen Fenster die Gerätesicherheit auswählen.
• Nun auf Kernisolierung klicken und dann "Details zur Kernisolierung" auswählen.
• Hier kann man die Kernisolierung aktivieren oder deaktivieren.
• Nach einem PC-Neustart ist die Kernisolation dauerhaft aktiviert oder deaktiviert.

Falls der Windows-PC nicht über eine aktivierte Kernisolierung/Speicherintegrität verfügt, können ohnehin alle möglichen Treiberversionen installiert werden und die Blockliste hat keine Bedeutung. Mit zukünftigen Windows Updates wird Microsoft jedoch auch unter Windows 10 wieder eine Treiberblockliste automatisch ausliefern.

Ebenfalls lesenswert: Zu hohe Hardwareanforderungen: Vier von zehn PCs vertragen sich nicht mit Windows 11

Sammlung zur potenziellen Angreifbarkeit von PCs mit Windows 10:

• Wie der Forscher Will Dormann herausgefunden hat, wird die Treiberblockliste unter Windows 10 seit 2019 nicht mehr automatisch aktuell gehalten.
• Microsoft führt eine Blockliste, welche veralteten Treiber nicht installiert werden können. Mit aktivierter Speicherintegrität alias Kernisolierung soll verhindert werden, dass nicht signierte Treiber oder Systemdateien in den Speicher von Windows geladen werden.
• Allerdings wird die Blockliste unter Windows 10 derzeit nicht automatisch aktualisiert, sondern muss manuell vom Nutzer auf den neuesten Stand gebracht werden. Erst mit einem künftigen Windows Update soll es wieder eine automatische Aktualisierung geben.
• Theoretisch ist es möglich, auf PCs mit Windows 10 und aktivierter Kernisolierung HVCI auch anfällige Treiber zu installieren, die dann Hacker ausnutzen können.

Quellen: Ars Technica, Microsoft

Artikel teilen

Windows 10: Millionen PCs bei Gerätetreibern anfällig für Hackerangriffe Wie der Forscher Will Dormann entdeckt hat, sind Millionen PCs mit Windows 10 potenziell angreifbar durch eine Schwachstelle bei Gerätetreibern.

Per E-Mail versenden

14